新思科技：提升汽车软件安全刻不容缓

IT时报记者戚夜云路上跑的汽车，还是传统理解的汽车吗？从另一个维度理解，每一台车辆都是一台联网的移动计算机，面对联网的新特性，传统汽车行业表现像刚学会上网的老年人，他们几乎没有什么经验来处理的相关问题。美国新思科...

IT时报记者 戚夜云

路上跑的汽车，还是传统理解的汽车吗？从另一个维度理解，每一台车辆都是一台联网的移动计算机，面对联网的新特性，传统汽车行业表现像刚学会上网的老年人，他们几乎没有什么经验来处理的相关问题。

美国新思科技公司与国际自动机工程师学会（SAE International）近日联合发布的《保护现代车辆的安全：汽车工业网络安全实践研究》报告显示，73％的汽车相关从业者表示他们非常担心第三方所提供的汽车技术的网络安全状况，44％的受访者表示他们的企业对上游供应商提供的产品落实了网络安全要求。

为了能够反映行业现状，这份报告访问了593名专业人员，他们来自全球汽车制造商、供应商及相关服务领域，并多数从事汽车技术安全工作，包括信息娱乐系统、远程信息处理、 转向系统、摄像头、基于SoC系统的组件、无人驾驶及自动驾驶车辆，和WiFi及蓝牙等RF技术。

报告结果显示，虽然大多数汽车制造商仍然生产某些自研设备，但他们的真正优势在于研发、车辆的设计和营销、零部件供应链的管理以及最终产品的组装OEM依靠数百家独立供应商来提供硬件和软件组件。这些零件相互融合提供功能，但这使得在软件安全方面权责不够清晰，使得汽车供应链中的软件存在重大风险。

其中84%的受访者担心网络安全实践无法跟上日新月异的技术；30%没有成熟的产品网络安全计划或团队；63%仅测试不到一半的硬件、软件和其它技术，以寻找安全漏洞。

新思科技软件质量与安全部门联合总经理Andreas Kuehlmann指出：“汽车行业中软件、联网和其它新兴技术的激增促发了以前不存在的风险 —— 网络安全。这项研究强调了在整个系统开发生命周期和整个汽车供应链中全面解决网络安全的基本转变的必要性。”

超过一半的受访者表示他们的企业没有为网络安全投入足够的预算和人力。62％的受访者表示，他们不具备在产品开发时所需的必要网络安全技能。

主动的网络安全测试不是企业优先考虑的事项。受访者指出他们仅对不到50％的硬件、软件和其它技术进行了测试，来确定它们是否存在漏洞。此外，71％的受访者认为，为了满足产品截止日期的压力是导致出现安全漏洞的主要因素。